|
Kaappari koneella?
|
|
|
neffi
Suspended due to non-functional email address
|
22. tammikuuta 2006 @ 05:48 |
Linkki tähän viestiin
|
No minä tässä taas moi!
Nyt on ilmeisesti joku kaappari koneella.Olin vikasietotilassa ja poistin kaiken näköistä mm.ewidon koska tiedot johtivat sinne,kolme dll kansiota jäi ewidoon joten suoritin järjestelmän palautuksen jotta voisit tutkia koko paketin.
Scan saved at 10:47:34, on 22.1.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\F-Secure\BackWeb\4436233\Program\SERVIC~1.EXE
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
C:\Program Files\F-Secure\Anti-Virus\FSGK32.EXE
C:\Program Files\F-Secure\BackWeb\4436233\program\fsbwsys.exe
C:\Program Files\F-Secure\Common\FSMA32.EXE
C:\Program Files\F-Secure\Common\FSMB32.EXE
C:\Program Files\F-Secure\Anti-Virus\fssm32.exe
C:\WINDOWS\System32\snmp.exe
C:\Program Files\F-Secure\Common\FCH32.EXE
C:\Program Files\F-Secure\Common\FAMEH32.EXE
C:\Program Files\F-Secure\FSPC\fspc.exe
C:\Program Files\F-Secure\FWES\Program\fsdfwd.exe
C:\Program Files\F-Secure\Anti-Virus\fsav32.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\F-Secure\Common\FSM32.EXE
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\F-Secure\BackWeb\4436233\Program\fspex.exe
C:\Program Files\Eraser\eraser.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\F-Secure\FSGUI\fsguiexe.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Program Files\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.soneraplaza.fi/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.soneraplaza.fi
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - toimittaja Sonera Internet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.dial.inet.fi:800
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\F-Secure\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [Eraser] C:\Program Files\Eraser\eraser.exe -hide
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Web-suodatin - {200DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program Files\F-Secure\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Program Files\F-Secure\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Näytä &Web-sivuluettelo... - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Program Files\F-Secure\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F02} - C:\Program Files\F-Secure\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: &Keskeytä Web-sivujen suodatus - {200DB664-75B5-47c0-8B45-A44ACCF73F02} - C:\Program Files\F-Secure\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F03} - C:\Program Files\F-Secure\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: &Kiellä tämä Web-sivusto - {200DB664-75B5-47c0-8B45-A44ACCF73F03} - C:\Program Files\F-Secure\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F04} - C:\Program Files\F-Secure\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: &Salli tämä Web-sivusto - {200DB664-75B5-47c0-8B45-A44ACCF73F04} - C:\Program Files\F-Secure\FSPC\fspcmsie.dll
O10 - Broken Internet access because of LSP provider 'winsflt.dll' missing
O12 - Plugin for .fpx: C:\\Program Files\\Internet Explorer\\PLUGINS\\NPRVRT32.dll
O12 - Plugin for .ivr: C:\\Program Files\\Internet Explorer\\PLUGINS\\NPRVRT32.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.soneraplaza.fi
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/cl...
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://support.f-secure.com/ols/fscax.cab
O23 - Service: Sonera Tietoturva (BackWeb Plug-in - 4436233) - Unknown owner - C:\PROGRA~1\F-Secure\BackWeb\4436233\Program\SERVIC~1.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\F-Secure\BackWeb\4436233\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\F-Secure\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure HTTP Server (fshttps) - F-Secure Corporation - C:\Program Files\F-Secure\FSPC\fshttps\fshttps.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure\Common\FSMA32.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
|
|
TuukkaZ
Account closed as per user's own request
|
22. tammikuuta 2006 @ 06:16 |
Linkki tähän viestiin
|
|
Voisi kyllä otsikkoa parannella.
|
|
pkaksp
Moderator
|
22. tammikuuta 2006 @ 06:33 |
Linkki tähän viestiin
|
|
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 22. tammikuuta 2006 @ 06:34
|
|
neffi
Suspended due to non-functional email address
|
22. tammikuuta 2006 @ 06:49 |
Linkki tähän viestiin
|
|
Nyt on luettu ja otettu opiksi.Olen uusi käyttäjä täällä mutta en ole halunnut ketään solvata ym.Tästä edes otan opikseni.kiitokset kaikille huomauttajille.
|
Senior Member
|
22. tammikuuta 2006 @ 07:23 |
Linkki tähän viestiin
|
|
Terve, kiitos tuosta otsikosta, ainakin huomaa :) valitettavasti totesi nämä moderaattorit että sääntöjen vastainen.
Kuitenkin lokisi näyttää puhtaalta. Kaapparit eivät myöskään lokin kautta voi tulla mitä tuolla ihmettelit. Saisitkos ewidosta raportin tänne mitä se löytää? Kuinka päättelit että kaappari on päässyt koneelle?
|
|
neffi
Suspended due to non-functional email address
|
22. tammikuuta 2006 @ 07:54 |
Linkki tähän viestiin
|
|
Ewidon raportti oli puhdas.Eilen löysin tämmöisen (adsl)hannuva.xml oli tullu pakattuna p2p:stä.en käytä moisia enää ikinä.Jäljet johti Ewidoon,poistin sen ja sinne jaäi kolme dll.kansiota miksiköhän?Sitten tein järjestelmän palautksen ajattelin että jos sit näkyisi lokissa.
|
Senior Member
|
22. tammikuuta 2006 @ 08:05 |
Linkki tähän viestiin
|
|
Millä nimellä ne .dll tiedostot ovat?
p2p:n kautta voi kyllä saada vaikka mitä, kyllä.
|
|
neffi
Suspended due to non-functional email address
|
22. tammikuuta 2006 @ 08:09 |
Linkki tähän viestiin
|
|
voi kun en kirjannut niitä.Poistan tänään Ewidon illalla ja katson jos ne jää vielä näkyviin ikmoittelen sitten taas.
|
Senior Member
|
22. tammikuuta 2006 @ 08:24 |
Linkki tähän viestiin
|
|
jep, ilmoittele jos tulee vielä jotain, nyt kone kuitenkin hyvässä jamassa :)
|
|
neffi
Suspended due to non-functional email address
|
22. tammikuuta 2006 @ 11:42 |
Linkki tähän viestiin
|
|
Postin ton Ewidon kun se eilinen jäi häiritsemään,poisti muut mutta ei tämmöistä shelhook.dll en tiedä onko sillä mitään merkitystä mutta kyselen nyt varmuuden vuoksi?
|
Senior Member
|
22. tammikuuta 2006 @ 11:55 |
Linkki tähän viestiin
|
|
Voit poistaa sen, tai jos ei lähde niin vikasietotilassa. Se oli ilmeisesti ewidon kansiossa? Miksi muuten ewido pois, eihän se kaappausta aiheuttanut...
|
|
neffi
Suspended due to non-functional email address
|
22. tammikuuta 2006 @ 12:55 |
Linkki tähän viestiin
|
|
jotain minä eilen tutkin ja ("viisas pää") ajatteli jotain tyhmää jne,jne.No kaikki ok...tänään.palaillaan taas.
|
Senior Member
|
22. tammikuuta 2006 @ 14:57 |
Linkki tähän viestiin
|
|
Katsohan tarkasti muuten, että kun F-Secure kyselee ohjelmista mitä nettiin päästetään niin katso, että vain tärkeät ohjelmat saavat luvan ja aivan tuntematoin ei. Google auttaa tässä asiassa myös tiedostamaan ohjelman... Näin kone pysyy hyvin kunnossa :)
|
|
Mainos
|
|
|
|
neffi
Suspended due to non-functional email address
|
22. tammikuuta 2006 @ 15:07 |
Linkki tähän viestiin
|
|
Ok,kiitokset tässähän oppii vaikka sun mitä:)
|
